MITM su siti popolari - DNS

0

Un attacco MITM su siti popolari come Facebook.com Google.com può essere fatto intercettando le richieste DNS? L'utente noterà qualcosa?

Ad esempio:

Caricamento link

Il client richiede l'IP (non tramite SSL per impostazione predefinita) e il client ottiene l'IP dal server dell'attaccante. L'attaccante sarà quindi in grado di eseguire un MITM?

Suppongo che il client abbia digitato "fb.com" nel suo browser che accetterà solo una chiave pubblica da un certificato che contiene "fb.com". L'utente malintenzionato sarà in grado di inviare il traffico attraverso il suo server (reindirizzamento tramite DNS), ma non ne darà un senso (perché non sarà in grado di far accettare al client la sua chiave pubblica).

Mi sbaglio in questo?

    
posta user3231622 18.08.2015 - 18:49
fonte

3 risposte

1

È possibile eseguire lo spoofing ARP per fare in modo che le vittime inviino query DNS all'utente (l'utente malintenzionato). Puoi quindi rispondere con record di tipo A DNS con un indirizzo IP che controlli. La convalida del certificato SSL, tuttavia, fallirà perché non potrai impersonare come Facebook quando esegui la definizione della chiave SSL.

    
risposta data 18.08.2015 - 23:36
fonte
3

Supponiamo che Victim A abbia il router wireless Linksys standard disponibile che, per impostazione predefinita, non ha la crittografia abilitata sulla rete wireless che trasmette. Supponiamo che Victim A non abbia mai cambiato la password di amministrazione predefinita per accedere all'interfaccia web del router per modificare le impostazioni (di solito admin, admin).

Queste due situazioni sono estremamente comuni. Tutto ciò che l'attaccante A deve fare è impostare un server DNS e web canaglia sul suo laptop che è stato collegato alla rete wireless di Victim A, aggiungere gli indirizzi di inoltro nel suo server DNS canaglia (come il DNS pubblico di Google di 8.8.8.8 e 8.8.4.4 ) in modo che tutti gli altri domini che Victim A tenta di visitare siano ancora risolvibili al loro corrispondente indirizzo IP pubblico, quindi aggiungono una zona di ricerca diretta per fb.com e facebook.com . Ognuna di queste 2 zone avrà bisogno di un record A per il dominio radice e un record A per www , entrambe le quali puntano all'indirizzo IP locale di Attacker A di 192.168.1.1 . L'attaccante A accede quindi all'interfaccia web del router (l'indirizzo gateway predefinito, in genere 192.168.1.1 per Linksys). Da lì, l'attaccante A modifica le impostazioni DNS dell'ISP sull'interfaccia WAN dalle impostazioni ottenute tramite DHCP dall'ISP all'indirizzo LAN locale del suo laptop (ad esempio, 192.168.1.101 ).

Ora, sul server web locale di Attacker A, prende i fogli di stile CSS di Facebook e il modulo di login con wget o qualsiasi altro strumento di mirror dei siti Web, quindi inietta alcuni PHP nella pagina scaricata che salva un file di testo nella root del suo server web locale directory che registra qualsiasi nome utente e password inviati tramite il modulo. Ricorda che questo modulo sembra esattamente come il modulo di accesso di Facebook. Da lì, l'attaccante inoltra queste informazioni al sito reale di Facebook e registra l'utente in modo che l'utente non sappia nemmeno cosa è successo.

Quando Victim A visita fb.com , facebook.com , www.fb.com o www.facebook.com , l'indirizzo IP con risoluzione come indirizzo LAN del computer portatile di Attacker A di 192.168.1.101 dato la cache DNS di Victim A è stata cancellata dopo un periodo di tempo.

Come accennato, l'unico svantaggio è che se il Vittima A ha un segnalibro di s : //facebook.com, il processo sarà estremamente (ph) ishy, in quanto Victim A riceverà un avviso di certificato non valido . Inoltre, tieni presente che l'attaccante non deve attenerti a questo intero processo se configura un DNS e un server Web illegali su un IP pubblico, inoltra le porte 53 e 80 sul suo firewall e imposta l'indirizzo DNS del router di Victim A a IP pubblico dell'attacker A.

    
risposta data 19.08.2015 - 01:48
fonte
0

Sì, puoi "dire" conosci l'IP di fb.com, ma dai il tuo. - Ho dimenticato come viene chiamato l'attacco al momento:)

Puoi fingere di essere Facebook in quanto hai una pagina web che assomiglia a Facebook (e usa qualcosa come SSLStrip per fermare i reindirizzamenti automatici su HTTPS), ma se il client FORCES usa SSL, non puoi falsificare il certificato di Facebook. È questo che stai chiedendo?

    
risposta data 18.08.2015 - 19:51
fonte

Leggi altre domande sui tag